solidot新版网站常见问题,请点击这里查看。

研究人员利用供应链攻击入侵 35 家科技公司

安全
WinterIsComing (31822)发表于 2021年02月10日 23时39分 星期三
来自
一位安全研究员设法利用一种新颖的软件供应链攻击入侵了 35 家大型科技公司的内部系统,这些公司包括了 Microsoft、Apple、PayPal、Shopify、Netflix、Yelp、Tesla 和 Uber。这次攻击利用了开源生态系统的一个设计缺陷:依赖关系混乱。Alex Birsan 注意到 PayPal 使用的一个程序包含了非公开的私有 npm 包,他想知道如果他创建一个同名的公开的 npm 包,那么软件在构建时是优先使用私有的还是公开的版本?为了测试这一假说,他向流行的软件包库 npm、PyPI 和 RubyGems 上传了同名的冒牌项目,每个项目都包括了相同的说明,解释软件包不包含任何有用的代码,只是用于安全研究目的。他发现,公开的软件包会比私有的软件包优先度更高;某些情况下版本更高的软件包优先度更高,无论私有还是公开。利用这一方法,他成功入侵了多家知名科技公司,获得了超过 13 万美元的漏洞报告奖励。